UTM:Fortinet社FortigateのDLP機能(情報漏洩防止)と設定概要

utm-fortigate-dlp

UTM:Fortigateの情報漏洩防止機能(DLP:Data leak prevention)と設定概要について「最新Ver:FortiOS5.2」のマニュアルを参考に紹介していきます。

FortigateのDLP機能とは

UTMであるFortigateを経由して内側から外側に流れるデータを検査して、機密データのパターンにマッチするとブロックしたり記録を残したりする機能になり、最近ではマイナンバーセキュリティの情報漏洩対策としても使用されています。
ここでの内側/外側の表現は、内側は機密データを保存している端末や情報漏洩対策したいネットワーク、外側はインターネット上などの外部情報漏洩や同組織内の別部署や別ネットワークなど内部情報漏洩などのイメージです。
DLP機能で例えば、外部へ送信してはいけないワード文書を送信してしまった。誤操作によりメールに社会保障番号を記載して送ってしまった。といったことを防ぐことができます。基本的にあらかじめ機密情報の特徴を定義しておく必要があり、検査対象となるデータは以下のとおりです。

  • プロトコル:SSLを含むメールやWEB閲覧などの通信
  • アーカイブ:ZIPやLHAなどの圧縮されたアーカイブ形式
  • ファイル:テキストやPDF、ワードやエクセルなどのOfficeデータ

FortigateのDLP機能概要

DLP機能を構成する要素について、DLP機能概念・DLPアーカイブ・DLP機能有効化の順で設定前の知識準備しておきます。

DLP機能概念

DLPセンサー

複数のフィルタを含んだパッケージになりセキュリティポリシーで任意のセンサーを選択し有効化する

DLPフィルタ

データマッチングとしてフィンガープリント(チェックサム)、ファイルフィルタ(ファイル名/種類)、ファイルサイズ(~サイズ以上を対象)、ウォーターマーク(電子透かし)など

DLPフィルターアクション

何もしない、ログに記録(デフォルト動作)、ブロックしてメッセージ表示、IPアドレスの検疫/送信元IPの禁止(有効期限:最大約1年)

事前に設定されたセンサー

編集や追加ができ、クレジットカード(アメリカンエクスプレス/マスターカード/ビザ)や社会保障番号(SSN:Social Security Number)などがある

DLPドキュメントフィンガープリント

内部ストレージを持つ機器で使用でき、ファイル種類/ファイル名/ファイル内容の一部を元に同一性を比較

ファイルサイズ

設定で指定サイズより大きいデータを対象とする(単位:キロバイト)

特定のファイルタイプによるDLPフィルタリング

拡張子やワイルドカードを含むファイル名称のパターンをみる。(アーカイブが別の拡張子に変更されていても適用、大文字小文字を区別しない、上から順番に対応パターンを比較する、アーカイブ内は検出しない)

ウォーターマーク(電子透かし)

デジタルパターンを持つファイルが対象(ファイルに約100バイトのパターン追加、カテゴリ一致、感度レベル)

ソフトウェアバージョン

ウォーターマークファイルはWindowsOS用ソフト:FortiExplorer(設定管理)で使用

ファイルタイプ

ウォーターマークツールでサポートするファイルの種類は、テキスト/PDF/ワード/エクセル/パワーポイント(.txt/.pdf/.doc/.docx/.xls/.xlsx/.ppt/.pptx)

正規表現

事前に定義された単語やフレーズ

DLPアーカイブ保存

基本的なDLP機能として機密情報の防止に使用するが、対象とする通信の利用履歴の保存(DLPアーカイブ)で使用する事も出来る。
検査対象として、メール内容(IMAP/POP3/SMTP/IMAPS/POP3S/SMTPS)やHTTPコンテンツ(HTTP/HTTPS)、IMコンテンツ(AIM/ICQ/MSN/Yahoo)やFTP/NNTP(掲示板/ニュースサーバ)などがある。FortiAnalyzerかFortiGuard(サブスクリプション必要)で利用可能。またCLIで設定可能。

DLP機能の有効化

  1. DLPセンサーの作成
  2. DLPセンサーに1つのフィルタかいくつかのフィルタを追加
  3. DLPセンサーを1つかいくつかのファイアウォールポリシーに追加

FortigateのDLP設定方法

こちらの動画で設定の流れをイメージできます。

通常、先にフィルタをいくつか追加しておいてからセンサーを作成、最後にポリシーへ適用の順序となるかと思います。

DLPセンサーの作成と編集方法

  1. セキュリティプロファイル→「Data Leak Prevention」
  2. 新規作成(プラス丸アイコン) or 既存編集
  3. DLPセンサーの名前を入力、必要に応じてコメント入力
  4. DLPセンサーにフィルタを追加するか、「OK」で保存
    ※フィルタが無ければDLPセンサーは何も動作しない。

DLPセンサーへのフィルタ追加方法

  1. セキュリティプロファイル→「Data Leak Prevention」
  2. 作成済みのDLPセンサーを編集→新規作成(プラス丸アイコン)
  3. 新規フィルタ:メッセージ or ファイルを選択、条件選択 ※後述:フィルタオプション詳細
  4. 対象サービスをチェック ※後述:サービス詳細
  5. アクションを選択 ※後述:アクション詳細
  6. 「OK」→ポリシーに適用

DLPセンサー:フィルタオプション詳細

  • 含む:クレジットカード番号や社会保障番号(SSN:Social Security Number)
  • ファイルサイズ:「xxx」kB
  • ファイルタイプ:ファイル種類/ファイルパターン
  • ファイルフィンガープリント
  • 透かし感度、コーポレート識別子
  • 正規表現:指定フレーズ
  • 暗号化

DLPセンサー:サービス/アクション詳細

  • Web Access:HTTP-POST/HTTP-GET
  • Email:SMTP/POP3/IMAP/MAPI
  • Others:FTP/NNTP
  • アクション:None/ログ/ブロック/検疫IP

DLPセンサーの動作確認

WindowsコマンドやFTPソフト、メーラーやWEBフォーム等で確認したり、ログから動作を確認する。

参考価格

価格については基本版、導入費用については要件により変動しますので最低価格を提示しています。

機種型番ネット調べ
Fortigate-30DFG-30D-US54,000円
Fortigate-60DFG-60D-US82,000円
Fortigate-90DFG-90D-US135,000円
Fortigate-100DFG-100D-US270,000円

導入費用

No.品名数量単価ネット注文価格
1UTM:Fortigate設計設定費125,00025,000円
2UTM:Fortigate設置構築費125,00025,000円
小計50,000円

関連記事

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

ピックアップ記事

  1. centos7-dd-backup

    2018-4-30

    CentOS7-DDバックアップ方法

    CentOS7.4にてHDDデータを丸ごと外付けHDDにバックアップする方法について紹介(DDバック…
  2. office201709

    2017-9-7

    Office製品比較とシーン別価格重視での購入方法:2017年9月度

    SOHO/法人向けのマイクロソフトオフィス製品比較とシーン別/価格重視での購入方法について紹介(20…
  3. qnap-nas-syncro1

    2017-8-29

    QNAP-NASの双方向データ同期方法 – QNAPtoQNAP:RTRRデータフォルダ同期

    QNAP-NAS同士でRTRR双方向でデータフォルダを同期する方法について紹介(QNAP:TS-43…
ページ上部へ戻る